AWS: AWS 根據來源 IP 拒絕存取 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS: AWS 根據來源 IP 拒絕存取

此範例顯示如何建立以身分識別為基礎的原則,當要求來自指定 IP 範圍之外的主參與者時,拒絕存取帳戶中的所有 AWS 動作。當您公司的 IP 地址在指定範圍內時,該政策很有用。在此範例中,請求需要源自 CIDR 範圍 192.0.2.0/24 或 203.0.113.0/24 ,否則會遭到拒絕。此原則不會拒絕 AWS 服務使用的要求,轉送存取工作階段因為原始要求者的 IP 位址會保留。

請小心使用相同政策陳述式中的負面條件做為 "Effect": "Deny"。當您這麼做時,除了指定的委託人之外,政策陳述式中指定的動作在所有條件下都會明確拒絕授予。

重要

此政策不允許任何動作。將此政策與允許特定動作的其他政策結合使用。

當其他政策允許動作時,主體可以從 IP 地址範圍內提出請求。 AWS 服務也可以使用主體的認證提出要求。當主體從 IP 範圍外提出請求時,即會拒絕該請求。

如需有關使用 aws:SourceIp 條件鍵 (包括何時 aws:SourceIp 可能無法在政策中運作) 的詳細資訊,請參閱 AWS 全域條件內容索引鍵

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            }
        }
    }
}